狙われていますよ！従業員のマイナンバーを狙ったサイバー攻撃

サイバー攻撃とは、コンピューターシステムやネットワークを対象に、破壊活動やデータの窃取、改ざんなどを行うこと。
特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がある。
サイバー攻撃のうち、政治的な示威行為として行われるものを「サイバーテロ」、国家間で行われる攻撃を「サイバー戦争」と呼ぶことがある。

サイバー攻撃とはインターネットを利用して被害を与える犯罪行為のことです。

主には情報を盗むことを目的としており、
時にはテロに匹敵するような大きな被害を与えることもあるようです。

このサイバー攻撃は大きくいうと　

「不特定多数の人に攻撃し混乱や誤解などをまねくもの」と「特定の目標にめがけて攻撃するもの」

に分けることができて、
後者の標的型攻撃と呼ばれているものが近年では増加傾向にあります。

ここ数年、各企業に特化したサイバー攻撃「標的型攻撃」の被害が続いており、重要情報の漏洩が後を絶たない。こうした情報漏洩事件は企業の業績に大きな影を落としている。

標的型サイバー攻撃とは、重要情報の入手を最終目標として、時間、手段、手法を問わず、目的達成に向け、特定の組織を攻撃対象として、その標的に特化して継続的に行われる一連の攻撃を指します。一般に「APT攻撃」、「持続的標的型攻撃」と呼ばれる場合もあります。

調査は、業種別・従業員数別に抽出した1万3000企業を対象に郵送アンケートで行ったもので、回答数は1913件。調査期間は2014年8月～10月（調査対象期間は2013年4月～2014年3月）。

　企業に対するサイバー攻撃については、被害に遭ったという回答が4.2％、発見のみという回答が15.1％で、合計19.3％がサイバー攻撃に遭遇。前年調査の13.8％から5.5ポイント増加した。

すべての企業でマイナンバーのような重要情報を保存するようになれば、外部からの攻撃も活発になるだろうことは容易に想像できる。

マイナンバーは、さまざまな要件にかかわる重要情報だけに、価値も非常に高い。

マイナンバーは個人の識別や、社会保障の受給、税の納付などに使われる数字。事業者側から社員の社会保険などを納付するため、事業者にはマイナンバーに関する適切な管理体制が求められている。
「サイバー攻撃を受けて、マイナンバーが流出した」では、洒落にならない。
マイナンバーの流出は、企業の倫理観、管理体制、企業そのものの信用にまで小さからぬ影響が出る。

近年のサイバー攻撃は、明確に金銭を目的としたものへと変わってきています。その際に攻撃者が狙うのは、我々がインターネットバンキングにアクセスする際のID／パスワードや電話番号、住所等の個人情報ですが、それだけでは個人を明確に特定することはできません。そこで個人を識別する番号であるマイナンバーが、闇市場に流通する様々な個人情報を名寄せするための"検索キー"として利用できるために狙われるのです。

特定のターゲットに狙い撃ちをする、いわゆる標的型攻撃による被害事例で、標的型攻撃では、攻撃者は目的とする情報を窃取するまで時間をかけ、執拗な攻撃を繰り返す。
マイナンバーの開始に伴い、こうした高度なサイバー攻撃の標的となる企業が今後ますます増加すると考えられると、ファイア・アイは予想している。

総務省は、日本年金機構や長野県上田市など公的機関で相次いだサイバー攻撃事件を受け、「自治体情報セキュリティ対策検討チーム」を立ち上げた。

政府は４日の閣議で、インターネット空間の安全確保に向けた新たな指針「サイバーセキュリティ戦略」を決定した。
日本年金機構の情報流出を踏まえ、サイバー攻撃1被害の監視対象を政府機関から、独立行政法人や一部の特殊法人にまで広げる。
国民に番号を割り当てて行政手続きに活用するマイナンバー制度への対策強化も明記した。

マイナンバーの管理方法について複数選択で聞いてみたところ、全体の42.1％が「わからない」と回答した。
具体的な方法として最も回答率が高かったのは「マイナンバー対応ソフト（業務用）」の28.1％、次いで「マイナンバー対応ソフト（市販用）」の17.0％。規模別でみると、社員数が少ないほど「わからない」の回答率が高い結果となった。

9月の段階で情報管理体制を整えていない中小企業は8割以上にのぼっている。
日経新聞が9月30日～10月1日に実施した調査では、準備が「おおむね完了」と答えた中小企業は、わずか6.6％しかいなかった。

2015年4月現在、導入体制が整っているのは2割に満たないと言われている。
しかし、知らなかったでは済まされないし、「ほかの企業も対策はやっていなかったのに何でウチが」と言っても決して許されない。
厳格な管理体制を今すぐにでも整えた方がよいだろう。

外部からの不正アクセス等の防止

情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。

・ネットワーク経路（FireEyeなど）やクライアントのウイルス対策を徹底
・ファイアウォールやWAFなどを活用した外部脅威への対応
・IDSやIPSを活用した、攻撃の検知と対策
・プロキシサーバを経由した遠隔操作サーバーとの接続の発見
・データベースへのアクセスを分析（Imperva SecureSphere Database Securityなど）

情報漏洩などを引き起こすサイバー攻撃から企業・組織を守るためには、ネットワークを監視し、外部あるいは内部からの不正アクセスを検知し、それらに対して迅速かつ適切な対処を施せるような体制やシステムを整備しておくことが不可欠と言える。
具体的な製品としては、ネットワークの境界にいわば関所として設置するファイアウォール、ネットワーク上に流れるパケットを監視して、攻撃や不正アクセスにつながる兆候などの検知を行い、防御対策を実施するIPS（侵入防止システム）、Webアプリケーションに対する不正な通信を食い止めるWAF（Web Application Firewall）、これらの様々な防御対策を1つのシステムに統合したUTM（Unified Threat Management）、基幹ネットワークに接続したクライアントPCの検査を行い、接続の許可/不許可を制御する検疫ソリューションなどが存在する。

企業における情報漏えいの原因として、内部犯行による漏えいが全体の2割を占めるという調査報告があります。
マイナンバーを狙うのは、外部のサイバー攻撃者だけではないということです。